How to Gat unlimited Facebook Auto like
Inhoudsopgave:
Facebook heeft een ernstige kwetsbaarheid hersteld die aanvallers gemakkelijk toegang had kunnen geven tot privégebruikersaccountgegevens en accounts kon controleren door gebruikers naar de opening te leiden speciaal ontwikkelde links, zei een onderzoeker van de beveiliging van webtoepassingen laat op donderdag.
Nir Goldshlager, de onderzoeker die beweert de fout te hebben gevonden en deze heeft gemeld bij Facebook, heeft een gedetailleerde beschrijving en videodemonstratie geplaatst van hoe de aanval op zijn blog werkte.
Door het beveiligingslek zou een potentiële aanvaller gevoelige informatie kunnen stelen die bekend staat als OAuth-toegangstokens. Facebook gebruikt het OAuth-protocol om applicaties van derden toegang te geven tot gebruikersaccounts nadat gebruikers ze hebben goedgekeurd. Aan elke applicatie wordt een uniek toegangstoken toegewezen voor elk gebruikersaccount.
[Meer informatie: hoe u malware van uw Windows-pc verwijdert]Goldshlager vond een kwetsbaarheid op de websites van Facebook voor mobiele apparaten en apparaten met aanraakbediening die voortkwamen uit ongepaste sanering van URL-paden. Hierdoor kon hij URL's maken die gebruikt konden zijn om het toegangstoken te stelen voor elke toepassing die een gebruiker had geïnstalleerd in zijn profiel.
Hoewel de meeste applicaties op Facebook apps van derden zijn die gebruikers handmatig moeten goedkeuren, zijn er een aantal Weinig ingebouwde applicaties die vooraf zijn goedgekeurd. Een dergelijke toepassing is Facebook Messenger; het toegangstoken vervalt niet tenzij de gebruiker zijn wachtwoord wijzigt en het uitgebreide machtigingen heeft voor toegang tot accountgegevens.
Facebook Messenger kan berichten, meldingen, foto's, e-mails, video's en meer lezen, verzenden, uploaden en beheren. De kwetsbaarheid van de URL-manipulatie op m.facebook.com en touch.facebook.com kon worden misbruikt om het toegangstoken van een gebruiker voor Facebook Messenger te stelen, waardoor de aanvaller volledige toegang had tot het account, aldus Goldshlager.
Fingered by bug-hunter
De aanvals-URL kan zijn ingekort met een van de vele URL-shortener-services en is verzonden naar gebruikers die zich voordoen als een link naar iets anders. De aanval zou ook hebben gewerkt voor accounts waarvoor Facebook's tweefactorauthenticatie was ingeschakeld, zei Goldshlager.
Met het toegangstoken en de Facebook-gebruikers-ID kan een aanvaller informatie uit het gebruikersaccount halen met behulp van de Graph API Explorer, een tool voor ontwikkelaars beschikbaar op Facebook's site, Goldshlager zei vrijdag via e-mail.
Volgens Goldshlager heeft het Facebook Security Team de kwetsbaarheid hersteld. "Facebook heeft een professioneel beveiligingsteam en zij lossen problemen zeer snel op", zei hij.
"We juichen de beveiligingsonderzoeker toe die deze kwestie onder onze aandacht heeft gebracht en voor het op verantwoorde wijze rapporteren van de bug aan ons White Hat-programma," een Facebookvertegenwoordiger zei vrijdag via e-mail. "We hebben met het team samengewerkt om ervoor te zorgen dat we de volledige omvang van de kwetsbaarheid begrepen, waardoor we het konden repareren zonder enig bewijs dat deze bug in het wild werd uitgebuit. Vanwege de verantwoordelijke rapportage van dit probleem aan Facebook, hebben we geen bewijs dat gebruikers werden beïnvloed door deze bug. We hebben de onderzoeker een premie gegeven om hen te bedanken voor hun bijdrage aan Facebook Security. "
De onderzoeker beweert dat hij ook andere OAuth-gerelateerde kwetsbaarheden heeft gevonden die Facebook beïnvloeden, maar weigerde informatie over hen te onthullen omdat ze '
Facebook voert een bug bounty-programma uit waarmee het geldelijke beloningen uitbetaalt aan beveiligingsonderzoekers die kwetsbaarheden op de site vinden en op verantwoordelijke wijze melden.
Goldshlager zei op Twitter dat hij nog niet door Facebook is betaald voor rapportage van dit beveiligingslek, maar merkte op dat zijn rapport meerdere kwetsbaarheden bevatte en dat hij waarschijnlijk de beloning zal ontvangen nadat deze allemaal zijn opgelost.
Facebook betaalt beveiligingsonderzoekers heel goed voor het vinden en melden van bugs, zei Goldshlager via e-mail. "Ik kan niet zeggen hoeveel, maar ze betalen meer dan elk ander bug bounty-programma dat ik ken."
Bijgewerkt om 11:55 uur PT om een reactie van Facebook op te nemen.
Mobile Network Builder kijkt naar IKEA voor inspiratie VNL wil de manier veranderen waarop mobiele basisstations worden ontworpen en uitgerold op zijn hoofd, om de deur voor dekking op het platteland ... VNL wil de manier waarop mobiele basisstations worden gemaakt en geïnstalleerd op zijn kop zetten, waardoor het economischer wordt om diensten aan te bieden op het platteland in ontwikkelingslanden. Om dit te doen, keek het voor consumentenelektronicafabrikanten en meubelgigant IKEA voor in
In staat zijn om deze markt aan te pakken, moet je beginnen met een blanco vel papier en aannemen dat er geen wegen, geen elektriciteit, geen gekwalificeerd personeel en een ARPU van $ 1- $ 2 zijn, volgens Raj.
The Pirate Bay plugt defensiefonds voor voormalige ISP
Site voor het delen van bestanden The Pirate Bay roept de gebruikers op om Open Internet te ondersteunen, een verdediging financieren voor ISP's.
Yahoo plugt gat dat het kapen van e-mailaccounts mogelijk maakt
Hackers achter een recentelijk gedetecteerde e-mailaanvalcampagne hebben een kwetsbaarheid op een Yahoo-website misbruikt om de e-mail te kapen accounts van Yahoo-gebruikers en gebruik ze voor spam.